POLITYKA OCHRONY DANYCH OSOBOWYCH

 

  1. Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej jako Polityka) ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w przedsiębiorstwie Karton-Pak Zbigniew Tkaczyk sp.j. z siedzibą w Świeciu (86-100) przy ul Sygietyńskiego 57 NIP: 5592040791,  telefon kontaktowy: 52 331 53 66 mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript., zwany dalej: "Administratorem­­";  (dalej jako Przedsiębiorstwo bądź Karton-Pak sp.j.).
  2. Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).

 

§ 1 Informacje ogólne

1. Polityka zawiera:

a)     opis zasad ochrony danych obowiązujących w Przedsiębiorstwie;

b)     rodzaje przetwarzanych danych osobowych;

c)     sposoby zapewnienia bezpieczeństwa danych osobowych;

d)     odwołania do załączników uszczegóławiających (wzorcowe procedury dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach).

2. Osobą odpowiedzialną za ochronę danych osobowych w Przedsiębiorstwie, w tym za wdrożenie i utrzymanie niniejszej Polityki, monitorowanie jej przestrzegania i stosowanie jest Mariola Tkaczyk bądź osoba przez nią upoważniona.

 

§ 2 Definicje

 

Polityka oznacza niniejszą Politykę ochrony danych osobowych, o ile co innego nie wynika wyraźnie z kontekstu.

RODO oznaczarozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).

Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjne, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

System tradycyjny - rozumie się przez to zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji i wyposażenia i środków trwałych w celu przetwarzania danych osobowych na papierze;

Osoba oznacza osobę, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu.

Podmiot przetwarzający oznacza organizację lub osobę, która przetwarza dane w imieniu administratora (tj. np. której Przedsiębiorstwo powierzyło przetwarzanie danych osobowych (np. usługodawca IT, zewnętrzna księgowość).

Przedsiębiorstwo oznacza firmę Karton-Pak Zbigniew Tkaczyk sp.j. z siedzibą w Świeciu (86-100) przy ul Sygietyńskiego będącą również Administratorem Danych Osobowych (ADO) dalej Karton-Pak Zbigniew Tkaczyk sp.j.

 

§ 3

 

Podstawy prawne przetwarzania danych osobowych w Karton-Pak Zbigniew Tkaczyk sp.j.

  1. Podstawę prawną zasad określonych w niniejszym dokumencie stanowi Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  2. Karton-Pak Zbigniew Tkaczyk sp.j. jako Administrator Danych Osobowych deklaruje, że przetwarzanie danych osobowych w Spółce jest zgodne z mającymi zastosowanie wymaganiami prawnymi.
  3. Deklaracja ta opiera się w szczególności na zapewnieniu, że dane osobowe są:

a)              przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,

b)              zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i przetwarzane w sposób zgodny z tymi celami,

c)              adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,

d)              prawidłowe i w razie potrzeby uaktualniane,

e)              przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane,

f)               przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

  1. Każdy pracownik ADO jest zobowiązany do przestrzegania zasad wskazanych powyżej, w tym do zapewnienia ich przestrzegania przez podległych mu pracowników.
  2. Wypełnienie obowiązku wskazanego w punkcie poprzedzającym podlega okresowej weryfikacji.

 

§ 4

Obowiązki osób przetwarzających dane osobowe

 

  1. 1.     Wszystkie osoby przetwarzające dane osobowe w Karton-Pak Zbigniew Tkaczyk sp.j. są odpowiedzialne za:

a)              przestrzeganie zasad ochrony danych osobowych określonych w niniejszym dokumencie oraz dokumentach z nim związanych. W tym celu każdy użytkownik zobowiązany jest zapoznać się przed dopuszczeniem do przetwarzania danych z dokumentacją z zakresu ochrony danych osobowych oraz złożyć stosowne oświadczenie w formie zobowiązania pracownika do zachowania poufności danych osobowych, potwierdzające znajomość ich treści,

b)              spełnianie wymogu wynikającego z obowiązku informacyjnego, w szczególności poinformowania osoby, której dane dotyczą zgodnie z zakresem wskazanym w niniejszym dokumencie,

c)              uczestniczenie w obowiązkowym szkoleniu z zakresu ochrony danych osobowych,

d)              bezzwłoczne zgłaszanie wszelkich dostrzeżonych nieprawidłowości w działaniu systemu informatycznego, w którym przetwarzane są dane osobowe zgodnie z zasadami zgłaszania incydentów w Przedsiębiorstwie,

e)              bezzwłoczne zgłaszanie wszelkich naruszeń, nieprawidłowości i dostrzeżonych zagrożeń związanych z bezpieczeństwem danych osobowych,

f)               wnioskowanie do ADO o potrzebie uzupełnienia lub uaktualnienia Rejestru czynności przetwarzania danych osobowych, potrzebie dokonania zmian w procesie przetwarzania danych osobowych oraz informowanie o ustaniu celu przetwarzania tych danych,

g)              niezwłoczne usunięcie / zaprzestanie przetwarzania danych osobowych w momencie ustania celu ich przetwarzania,

h)              informowanie ADO o zamiarze powierzenia przetwarzania danych osobowych lub ich udostępnienia innemu podmiotowi oraz konsultowanie z ADO umowy o powierzeniu przetwarzania danych osobowych,

i)               dołożenia szczególnej staranności podczas przetwarzania danych osobowych, aby proces przetwarzania odbywał się zgodnie z prawem, dane osobowe były merytorycznie poprawne, a ich przetwarzanie odbywało się wyłącznie w celu i zakresie oraz przez okres, dla którego zostały zebrane,

j)               udzielanie wyjaśnień w zakresie dotyczącym przetwarzania przez nich danych osobowych na każdorazowe żądanie ADO.

 

§ 5

Rejestr czynności przetwarzania

  1. Dla wszystkich zidentyfikowanych kategorii danych osobowych ADO prowadzi Rejestr czynności przetwarzania danych osobowych.
  2. Rejestr stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
  3. W Rejestrze, dla każdej czynności przetwarzania danych, którą Przedsiębiorstwo uznało za odrębną dla potrzeb Rejestru, Przedsiębiorstwo odnotowuje m.in.: nazwę czynności, cel przetwarzania, opis kategorii osób, opis kategorii danych, podstawę prawną przetwarzania, opis kategorii odbiorców danych.
  4. Na rejestr czynności przetwarzania danych osobowych składają się co najmniej następujące pola:

a)                 opis kategorii osób, których dane dotyczą,

b)                 cel przetwarzania danych osobowych,

c)                  podstawa prawna przetwarzania,

d)                 źródło danych osobowych,

e)                 opis kategorii danych osobowych,

f)                  informacja o przetwarzaniu danych wrażliwych,

g)                 lokalizacje, w których przetwarzane są dane osobowe,

h)                 systemy informatyczne, w których przetwarzane są dane osobowe,

i)                   informacja o przetwarzaniu danych osobowych w formie papierowej,

j)                   planowany termin usunięcia danych osobowych,

k)                  stosowane zabezpieczenia organizacyjne i techniczne,

l)                   informacje o podmiotach, którym dokonano powierzenia i dalszego powierzenia danych osobowych,

m)                informacje o podmiotach, którym udostępniono dane osobowe,

n)                 informacje o przekazaniu danych osobowych do Państwa trzeciego,

  • o)                 imię i nazwisko lub nazwę oraz dane kontaktowe ADO oraz IOD.
  1. Rejestr czynności przetwarzania danych osobowych może być prowadzony w formie papierowej lub elektronicznej, w tym w systemie informatycznym.
  2. Rejestr czynności przetwarzania stanowi Załącznik nr 6 do niniejszej Polityki

 

 

 

 

 

 

§ 6

Obowiązki informacyjne administratora

 

  1. Podczas pozyskiwania danych osobowych, Administrator przekazuje osobie, której dane dotyczą informacje, o których mowa w art. 13 RODO, zgodnie z wzorem będącym Załącznikiem nr 1 do niniejszej Polityki.

a)               tożsamość i dane kontaktowe ADO,

b)              cele przetwarzania danych osobowych oraz podstawę przetwarzania,

c)              informacje, że przetwarzanie wykonywane jest do celów wynikających z uzasadnionych interesów realizowanych przez ADO,

d)              informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeśli istnieją,

e)              gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz wzmiankę o stosowanych zabezpieczeniach, możliwościach uzyskania kopii tych danych lub o miejscu ich udostępnienia,

f)               okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,

g)              informacje o prawie do żądania od Spółki dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,

h)              jeżeli przetwarzanie odbywa się na podstawie uzyskanej zgody - informacje o prawie do cofnięcia zgody na przetwarzanie danych osobowych,

i)               informację o prawie do wniesienia skargi do organu nadzorczego,

j)               informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, istotnych zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

 

2. Informacje, o których mowa w ust. 1, są przekazywane za pośrednictwem poczty elektronicznej, w formie pisemnej bądź podczas rejestracji przez stronę www Administratora.

3. W przypadku, gdy dane osobowe zbierane są bezpośrednio od osoby, której dane dotyczą, należy przekazać informację czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i konsekwencjach niepodania danych.

4. W przypadku, gdy planuje się dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, należy poinformować osobę, której dane dotyczą, o nowym celu przetwarzania oraz udzielić jej stosowanych informacji zawartych w niniejszym rozdziale.

5. Do realizacji obowiązku informacyjnego zobowiązani są wszyscy pracownicy Karton-Pak Zbigniew Tkaczyk sp.j. oraz podmioty współpracujący.

6. Podstawowe informacje wymagane mającymi zastosowanie regulacjami prawnymi w obszarze ochrony danych osobowych udostępniane są na stronie internetowej Karto-Pak Zbigniew Tkaczyk sp.j. jako Polityka Prywatności stanowiąca załącznik nr 15 do niniejszej Polityki Ochrony Danych Osobowych.

 

 

 

§ 7 Zasady przetwarzania danych osobowych

 

  1. Ogólne zasady przetwarzania danych osobowych:

a)     w oparciu o podstawę prawną i zgodnie z prawem (legalizm);

b)     rzetelnie i uczciwie (rzetelność);

c)     w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);

d)     w konkretnych celach i niezbędnym zakresie (minimalizacja);

e)     nie więcej niż potrzeba (adekwatność);

f)      z dbałością o prawidłowość danych (prawidłowość);

g)     nie dłużej niż potrzeba (czasowość);

h)     zapewniając odpowiednie bezpieczeństwo danych, m.in. za pomocą środków wymienionych w § 5 ust. 2 niniejszej Polityki (bezpieczeństwo)

i)      umożliwiając osobom, których dane Przedsiębiorstwo przetwarza, wykonywanie swoich praw, m.in. za pomocą wdrożonych Procedur, wymienionych w § 6 niniejszej Polityki (m.in. prawo do bycia zapomnianym, prawo do zgłaszania sprzeciwu)

j)      dokumentując to, w jaki sposób spełniane są obowiązki, aby w każdej chwili móc wykazać ich zgodność z prawem (rozliczalność)

a)     Szczegółowe zasady przetwarzania danych osobowych

  1. Sposoby pozyskiwania danych osobowych

Przedsiębiorca pozyskuje dane przede wszystkim od klientów i kontrahentów w związku z realizacją umowy, podczas rejestracji na stronie www.marsgraf.pl

 

  1. Kategorie przetwarzanych osobowych

Przedsiębiorca przetwarza przede wszystkim dane służące do obsługi świadczonych usług, prowadzenia ksiąg rachunkowych, dane kadrowe i płacowe. Informacje te są przetwarzane i składowane zarówno w postaci dokumentacji tradycyjnej, jak i elektronicznej Są to w szczególności: Imię i nazwisko, adres, adres poczty elektronicznej, zawód, PESEL, numer dowodu osobistego, numer telefonu.

 

  1. Kategorie czynności przetwarzania

Przedsiębiorca korzysta z danych osobowych w dominującym zakresie w następujących sytuacjach: kontakt z klientami, wysyłanie maili, wysyłka zamówionego towaru, przeprowadzenie szkoleń, serwisu u klienta, newsletter, przeprowadzenie procesu rekrutacji i zatrudnienia.

 

 

 

  • § 8 Zasady ochrony danych osobowych
  1. Przedsiębiorstwo stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych.
  2. Zakresy ochrony danych osobowych określone przez dokumenty Polityki Bezpieczeństwa mają zastosowanie do systemów informatycznych Karton-Pak Zbigniew Tkaczyk sp.j., w  których są przetwarzane dane osobowe, a w szczególności do:

a)     wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie;

b)     wszystkich lokalizacji - budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie;

c)     wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, stażystów i innych osób i współpracowników mających dostęp do informacji podlegających ochronie w Karton-Pak Zbigniew Tkaczyk sp.j;

  1. Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa zobowiązani są wszyscy pracownicy w rozumieniu Kodeksu Pracy, stażyści oraz inne osoby i współpracownicy mające dostęp do informacji podlegających ochronie w Karton-Pak Zbigniew Tkaczyk sp.j.,
  2. Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie  oraz użytkowników
  3. Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w Karton-Pak Zbigniew Tkaczyk sp.j., rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych.
  4. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:

1)     poufność danych – rozumianą jako właściwość zapewniającą, że dane nie
są udostępniane nieupoważnionym osobom;

2)     integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

3)     rozliczalność danych - rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;

4)     integralność systemu - rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;

5)     dostępność informacji - rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;

6)     zarządzanie ryzykiem - rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.

 

§ 9 Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe oraz sposobów ich zabezpieczeń

 

 

  1. Obszar przetwarzania danych osobowych obejmuje budynek i pomieszczenia i części pomieszczeń, w których przetwarzane są dane osobowe (miejsca w których wykonuje się operacje na danych osobowych) oraz miejsca gdzie przechowuje się nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające elektroniczne nośniki informacji, pomieszczenia, w których składowane są uszkodzone nośniki danych).
  1. Lokalizacje przetwarzania danych osobowych przez Administratora Danych Osobowych.

a)     ul. Sygietyńskiego 57

-     pomieszczenia  - poczekalnia, pomieszczenia socjalne, biuro

-     nazwa działu użytkującego pomieszczenie- dział handlowy użytkuje pomieszczenie biurowe, poczekalnia (miejsce przyjmowania klientów) i pomieszczenia socjalne

-     osoby pracujące w pomieszczeniu pracownicy, wspólnicy  

-     zabezpieczenia pomieszczenia :

  • każde z pomieszczeń zamykane jest na klucz,
  • pomieszczenie biurowe zabezpieczone przed dostępem z zewnątrz kratami,
  • wejście do pomieszczenia biurowego, zabezpieczone jest drzwiami zamykanymi na klucz i poprzedzone poczekalnią (miejsce przyjmowania klientów);
  •  klucze do pomieszczeń mają tylko osoby upoważnione przez ADO,
  • osoby nieupoważnione zawsze przebywają pod nadzorem pracownika ADO bądź upoważnionego pracownika.

b)     Kozłowo 26a

-     pomieszczenia  - biura, pomieszczenia socjalne, hala produkcyjna

-     nazwa działu użytkującego pomieszczenie- dział produkcji i logistyki

-     osoby pracujące w pomieszczeniu pracownicy, wspólnicy  

-     zabezpieczenia pomieszczenia, w których przetwarzane są dane osobowe zamykane jest na klucz.

 

 

  1. Przebywanie osób nieuprawnionych do dostępu do danych osobowych
    w pomieszczeniach biurowych o których mowa w ust. 2 niniejszego paragrafu, jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych.
  2. Osoby upoważnione do przetwarzania danych osobowych zobowiązane
    są do przestrzegania zasad dotyczących wprowadzania osób trzecich do obszaru przetwarzania danych osobowych. Ruch osób z zewnątrz w przedmiotowym obszarze powinien odbywać się pod kontrolą osób upoważnionych.
  3. ADO może zezwolić na przebywanie w pomieszczeniach, w których mowa
    w ust. 2, osobom sprzątającym te pomieszczenia poza godzinami pracy podmiotu bez konieczności obecności osobowy dopuszczonej do przetwarzania danych. Osoby sprzątające podpisują oświadczenie o zachowaniu poufności.
  4. Budynki lub pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamknięte podczas nieobecności w nich osób upoważnionych
    do przetwarzania danych osobowych, w sposób uniemożliwiający dostęp do nich osób nieupoważnionych.

 

 

§ 10

Środki techniczne i organizacyjne

 

  1. W celu zapewnienia ochrony danych osobowych przetwarzanych w Karton-Pak Zbigniew Tkaczyk sp.j. stosuje się następujące zabezpieczenia organizacyjne i techniczne:

a)              opracowano i wdrożono Instrukcję zarządzania systemami informatycznymi przetwarzającymi dane osobowe oraz Politykę ochrony danych osobowych

b)              w miarę potrzeb przeprowadza się ocenę skutków dla ochrony danych osobowych, a na podstawie jej wyników podejmuje się adekwatne działania zapewniające właściwy poziom bezpieczeństwa przetwarzanych danych osobowych,

c)              do przetwarzania danych osobowych dopuszcza się wyłącznie osoby upoważnione do ich przetwarzania w minimalnym zakresie niezbędnym do realizacji obowiązków służbowych,

d)              zapewnia się realizację szkoleń dla wszystkich pracowników dopuszczonych do przetwarzania danych osobowych obejmujących zasady ich ochrony,

e)              do przetwarzania danych osobowych dopuszcza się jedynie pracowników, którzy uprzednio pisemnie zobowiązali się do zachowania ich w poufności,

f)               przetwarzania danych osobowych dokonuje się w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych, w szczególności poprzez: kontrolę dostępu do pomieszczeń i budynków, instalacją krat, zapewnienie środków przetwarzania danych osobowych z trwałym znaczeniem otwarcia, w których przetwarza się dane osobowe (szafa na klucz),

g)              pracownicy/ współpracownicy zobowiązani są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy, jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku w drzwiach. Pracownicy/ współpracowników zobowiązani są do dołożenia należytej staranności w celu zabezpieczenia posiadanych kluczy przed nieuprawnionym dostępem,

h)              każdą osobę przetwarzającą dane osobowe zobowiązuje się do przestrzegania politykę czystego biurka i podstawowych zasad ochrony danych osobowych, stanowiących Załącznik 8 nr do niniejszej Polityki,

i)               przebywanie osób nieupoważnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe dopuszcza się tylko w obecności osoby upoważnionej do przetwarzania danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych,

j)               niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia oraz jej bezpośredni przełożony;

k)              stosuje się pisemne umowy powierzenia przetwarzania danych osobowych przy współpracy z podmiotami zewnętrznymi przetwarzającymi dane osobowe,

l)               przetwarzanie danych osobowych odbywa się wyłącznie w ramach wykonywanych zadań służbowych,

m)            zapewnia się zdolność do szybkiego przywrócenia dostępności danych osobowych w razie incydentu fizycznego lub technicznego,

n)              zapewnia się zdolność do ciągłego zapewnienia poufności, integralności i dostępności danych osobowych przetwarzanych w systemach informatycznych Spółki,

  • o)              dokonuje się regularnych audytów i testów skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych,

p)              zapewnia się zdolność systemów informatycznych do spełnienia praw osób, których dane dotyczą (usunięcie, sprostowanie, sprzeciw, ograniczenie),

q)              stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych

r)               osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane zostały do zachowania ich w tajemnicy – podpisują zobowiązanie do Zachowania poufności danych osobowych stanowiące załącznik nr 16 do niniejszej Polityki

s)              przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;

 

 

 

  • § 12

Kontrola

Przedsiębiorstwo dokonuje przeglądu zasad przetwarzania danych, środków ich zabezpieczenia, ilości i zakresu przetwarzania danych w celu ich uaktualniania i dostosowywania do obowiązujących przepisów. Raz w roku, do końca marca roku kolejnego Przedsiębiorstwo dokonuje kontroli, z której spisywany jest Protokół Kontrolny, stanowiący Załącznik nr 2 do niniejszej Polityki.

 

  • § 13

Powierzanie przetwarzania danych

 

  1. Przedsiębiorstwo zawiera odpowiednio dostosowane do wymogów prawnych umowy powierzenia przetwarzania danych w ten sposób, aby podmioty przetwarzające te dane dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na Przedsiębiorstwie, zgodnie z wzorem stanowiącym Załącznik nr 4 do niniejszej Polityki.
  2. Powierzenie przetwarzania danych osobowych przez Spółkę podmiotom zewnętrznym może dokonać Administrator Danych lub pracownik, posiadający stosowne upoważnienia do zawierania umów w imieniu Administratora Danych. Powierzenie przetwarzania danych osobowych następuje wyłącznie w drodze pisemnej umowy powierzenia przetwarzania danych osobowych, umowy wzajemnego powierzenia przetwarzania danych osobowych lub klauzuli do umowy.
  3. Do powierzenia przetwarzania danych osobowych może dojść w każdej umowie bez względu na jej przedmiot (np. umowy serwisowe, remontowe, inwestycyjne itp.)
  4. Przy powierzeniu przetwarzania danych osobowych ADO jest zobowiązany do korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia oraz chroniło prawa osób, których dane dotyczą.
  5. Podmiot zewnętrzny, któremu powierzono przetwarzanie danych, nie może powierzyć do dalszego przetwarzania powierzonych mu danych bez uzyskania uprzedniej, wyraźnej zgody ADO.
  6. Podmiot zewnętrzny, któremu powierzono przetwarzanie danych, zobowiązany jest przetwarzać powierzone mu dane wyłącznie w celach, które zostały wskazane w zawartej z nim umowie.
  7. Umowa, która zawiera zapisy o powierzeniu przetwarzania danych osobowych powinna w szczególności zawierać elementy dotyczące :

 

a)     charakteru i celu przetwarzania danych osobowych,

b)     przedmiotu i czasu trwania przetwarzania danych osobowych

c)     rodzaju danych osobowych oraz kategorii osób, których dane dotyczą,

d)     obowiązków i praw ADO,

e)     zobowiązania pracowników podmiotu przetwarzającego do zachowania powierzonych danych osobowych w tajemnicy,

f)      zapewnienia bezpieczeństwa organizacyjnego i technicznego przetwarzania danych osobowych,

g)     zasad dalszego powierzania danych osobowych administrowanych przez Mars Graf s.c.

h)     udziału w procesie udzielania odpowiedzi na żądanie osoby, które dane dotyczą, oceny skutków dla przetwarzania danych osobowych, zgłaszania naruszeń,

i)      usunięcia lub zwrócenia ADO powierzonych danych osobowych po zakończeniu świadczenia usługi,

j)      udostępniania ADO wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w Rozporządzeniu oraz innych, mających zastosowanie przepisach prawa w obszarze ochrony danych osobowych, w tym poprzez audyty i inspekcje podmiotu przetwarzającego;

k)     możliwości żądania natychmiastowego wstrzymania przetwarzania danych osobowych powierzonych w razie stwierdzenia niedostatecznej ochrony danych osobowych.

 

  • § 14

Privacy by design

Procedury uruchamiania nowych projektów i inwestycji w Przedsiębiorstwie uwzględniają konieczność oceny wpływu zmiany na ochronę danych, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu. W tym celu zasady prowadzenia projektów i inwestycji przez Przedsiębiorstwo odwołują się do zasad bezpieczeństwa danych osobowych i minimalizacji, wymagając oceny wpływu na prywatność i ochronę danych, uwzględnienia i zaprojektowana bezpieczeństwa i minimalizacji przetwarzania danych od początku projektu lub inwestycji.

  • § 15

Dostęp do przetwarzanych danych

Przedsiębiorstwo stosuje ograniczenia dostępu do danych osobowych: prawne (zobowiązania do poufności, zakresy upoważnień- załącznik nr 5 do niniejszej Polityki), fizyczne (strefy dostępu, zamykanie pomieszczeń) i logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe).

Przedsiębiorstwo stosuje kontrolę dostępu fizycznego.

Przedsiębiorstwo dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób, oraz zmianach podmiotów przetwarzających.

 

  • § 16

Dostęp do przetwarzanych danych

  1. Osobami odpowiedzialnymi za bezpieczeństwo danych osobowych, w tym
    w szczególności za przeciwdziałanie dostępowi osób niepowołanych oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń jest ADO.
  2. Każdy z pracowników Przedsiębiorstwa, w przypadku zidentyfikowania zdarzenia mogącego stanowić naruszenie ochrony danych osobowych, jest zobowiązany do niezwłocznego, to jest nie później niż w terminie 12 h od momentu jego stwierdzenia, kontaktu z ADO

 

  • § 17

 Gromadzenie danych osobowych.

 

  1. Dane osobowe przetwarzane w Karton-Pak Zbigniew Tkaczyk sp.j. mogą być uzyskiwane bezpośrednio od osób, których te dane dotyczą, lub z innych źródeł, w granicach dozwolonych przepisami prawa.
  2. Zebrane dane osobowe mogą być wykorzystane wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane. Po wykorzystaniu dane osobowe powinny być przechowywane w formie uniemożliwiającej identyfikację osób, których dotyczą.
  3. W przypadku konieczności udostępnienia dokumentów i danych, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie dokonać anonimizacji tych danych osobowych.
  4. W przypadku gdy dane osobowe są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem Ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, ADO jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia.
  5. ADO udostępnia przetwarzane dane osobowe tylko osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
  6. Dane osobowe mogą być udostępniane w następujących przypadkach:

1) na podstawie wniosku od podmiotu uprawnionego do otrzymywania danych osobowych na podstawie przepisów;

2) na podstawie umowy z innym podmiotem, w ramach której istnieje konieczność udostępnienia danych;

3)na podstawie wniosku osoby, której dane dotyczą.

7. Udostępniając dane osobowe, należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.

8. Do przetwarzania danych mogą być dopuszczeni pracownicy i współpracownicy Karton-Pak Zbigniew Tkaczyk sp.j. oraz pracownicy i współpracownicy zewnętrzni, posiadający upoważnienie nadane przez ADO.

9. ADO prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych.

10. ADO zobowiązany jest do zbierania, ewidencjonowania i przechowywania:

1) oświadczeń osób przetwarzających dane osobowe o zachowaniu w tajemnicy danych, z którymi mają styczność, oraz środkach bezpieczeństwa stosowanych przy przetwarzaniu danych osobowych;

2) oświadczeń osób zatrudnianych na podstawie umowy zlecenia, umowy o dzieło lub innej umowy cywilnej o zachowaniu tajemnicy.

 

  • § 18

 Sposób obsługi praw jednostki (praw osób, których dane dotyczą)

  1. Przedsiębiorstwo dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza.
  2. Przedsiębiorstwo ułatwia osobom korzystanie z ich praw poprzez różne działania, w tym: zamieszczenie na stronie internetowej Karton-Pak Zbigniew Tkaczyk sp.j.  informacji l (linków) o prawach osób, sposobie skorzystania z nich.
  3. Realizując prawa osób, których dane dotyczą, Przedsiębiorstwo wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste itp.), Przedsiębiorstwo może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.

4.  Przedsiębiorstwo stosuje następujące procedury w celu realizacji praw osób, których dane dotyczą:

- Procedurę dotyczącą usunięcia danych osobowych na wniosek uprawnionej osoby, stanowiąca Załącznik nr 9 do niniejszej Polityki – celem procedury jest wskazanie podstaw wystąpienia z żądaniem przesłanki realizacji bądź odmowy realizacji wniosku

- Procedurę dotyczącą ograniczenia przetwarzania danych osobowych na wniosek uprawnionej osoby, stanowiąca Załącznik nr 10 do niniejszej Polityki – celem procedury jest wskazanie podstaw wystąpienia z żądaniem przesłanki realizacji bądź odmowy realizacji wniosku 

- Procedurę dotyczącą realizacji prawa do informacji na wniosek uprawnionej osoby, stanowiąca Załącznik nr 11 do niniejszej Polityki – celem procedury jest wskazanie podstaw wystąpienia z żądaniem, przesłanki realizacji bądź odmowy realizacji wniosku

- Procedurę dotyczącą sprzeciwu przetwarzania danych osobowych na wniosek uprawnionej osoby, stanowiąca Załącznik nr 12 do niniejszej Polityki – celem procedury jest wskazanie podstaw wystąpienia z żądaniem przesłanki realizacji bądź odmowy realizacji wniosku

- Procedurę dotyczącą sprostowania przetwarzania danych osobowych na wniosek uprawnionej osoby, stanowiąca Załącznik nr 13 do niniejszej Polityki – celem procedury jest wskazanie podstaw wystąpienia z żądaniem przesłanki realizacji bądź odmowy realizacji wniosku

  • § 19

 Retencja Danych Osobowych

  1. 1.     Dane osobowe przetwarzane w Karton-Pak Zbigniew Tkaczyk sp.j. przechowywane są przez okres nie dłuższy niż jest to niezbędne. Okres przechowywania danych jest dostosowywany do celu, w którym zostały zebrane.
    1. 2.          Okres retencji może:

a)                 wynikać z powszechnie obowiązujących przepisów prawa lub regulacji wewnętrznych Spółki,

b)                 zostać określony przez organ nadzorczy w zakresie ochrony danych osobowych,

c)                  być ustalany przez komórki organizacyjne będące właścicielami przetwarzanych danych osobowych,

d)                 wynikać z zapisów konkretnej umowy.

  1. 2.     Wskazany przez komórkę organizacyjną okres retencji jest weryfikowany i akceptowany przez ADO.
  2. 3.     Okres retencji danych osobowych odnotowany jest w Rejestrze czynności przetwarzania w stosunku do określonej kategorii danych osobowych i celu, w jakim zostały one zebrane.
  3. 4.     W przypadku dokumentacji w formie papierowej, za zniszczenie danych po ustaniu okresu retencji odpowiedzialny jest pracownik przetwarzający te dane w okresie bezpośrednio poprzedzającym upływ okresu retencji danych.
  4. 5.     Dane powinny zostać zniszczone w sposób uniemożliwiający ich w Sposób uniemożliwiający ich odtworzenie.
  5. 6.     Proces niszczenia nośników zawierających dane osobowe może zostać zlecony na zewnątrz organizacji.
  6. 7.     W przypadku danych osobowych przetwarzanych w systemach informatycznych, każdy pracownik przetwarzający te dane jest odpowiedzialny, za usunięcie tych danych lub zgłoszenie potrzeby ich usunięcia do ADO
  • § 20

Zgoda na przetwarzanie Danych Osobowych

  1. W każdej sytuacji, w której nie zidentyfikowano podstawy prawnej innej niż zgoda osoby, której dane dotyczą, niezbędne jest uzyskanie takiej zgody.
  2. Forma wyrażenia zgody na przetwarzanie danych osobowych jest dowolna (np. treść wiadomości e-mail, wydruk, checkbox w systemie informatycznym). Forma zgody powinna gwarantować możliwość potwierdzenia faktu jej uzyskania.
  3. Wyrażenie zgody na przetwarzanie danych osobowych nie może stanowić podstawy do odmowy wykonania umowy / świadczenia usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do ich wykonania.
  4. Za uzyskanie zgody na przetwarzanie danych osobowych odpowiedzialny jest pracownik pozyskujący dane osobowe od osoby, której dane dotyczą.
  5. Zgoda na przetwarzanie danych osobowych powinna zawierać co najmniej:

a)                 tożsamość ADO,

b)                 zamierzone cele przetwarzania, dla których dane osobowe są zbierane,

c)                  fakt wyrażenia zgody,

d)                 informację o możliwości wycofania zgody.

  1. Nie dopuszcza się sytuacji, w których łączy się zgody na przetwarzanie danych osobowych zbieranych dla spełnienia różnych celów. W przypadku zbierania danych osobowych dla kilku celów jednocześnie, należy uzyskać indywidualną zgodę dla każdego z celów.
  2. W przypadku, gdy zgoda dotyczy danych wrażliwych, konieczne jest zebranie jej w formie pisemnego oświadczenia od osoby, której dane dotyczą.
  3. Osoba, której dane dotyczą ma prawo w dowolnym momencie wycofać zgodę.
  4. W przypadku uzyskania wniosku o wycofanie zgody na przetwarzanie danych osobowych, każdy pracownik jest zobowiązany do powiadomienia o tym fakcie ADO, który podejmuje właściwe kroki.

 

 

Załączniki

  1. Wzór klauzul informacyjnych
  2. Protokół Kontroli
  3. Wzór zgody na przetwarzanie danych
  4. Wzór umowy powierzenia przetwarzania danych
  5. Wzór upoważnienia do przetwarzania danych wraz z ewidencją upoważnień
  6. Wzór rejestru kategorii czynności danych i kategorii przetwarzania
  7. Procedura zgłaszania naruszeń
  8. Polityka czystego biurka i podstawowe zasady ochrony danych osobowych
  9. Procedura dot. usunięcia danych osobowych

10.Procedura dot. ograniczenia przetwarzania danych osobowych

11.Procedura realizacji wniosku o udzielenie informacji

12.Procedura realizacji prawo do sprzeciwu

13.Procedura realizacji prawa do sprostowania, uzupełnienia

14.Instrukcja zarządzania systemem informatycznym

15.Analiza ryzyka i ocena skutków

16.Zobowiązanie do zachowania poufności